ssaunders91/Windows-Forensics-Incident-Response

# 🕵️ Windows 取证调查：入侵后分析 ## 📌 项目概述 本项目重点关注一台已失陷 Windows 工作站的主机取证。利用各种原生 Windows 工具和取证实用程序，我**分析**了系统，以识别非授权账户、持久化机制以及攻击者使用的“Living off the Land” (LotL) 技术证据。 ## 🔍 调查阶段 ### 1. 识别非授权访问 第一步是识别攻击者如何维持对机器的访问。 * **观察：** 我发现了一个不符合公司命名规范的隐藏本地账户。 * **分析：** 使用 `net user` 命令和 **Local Users and Groups**（本地用户和组）管理器，我识别出了账户 `Guest1`，该账户已被提升至 **Administrators** 组。 ### 2. 分析持久化机制 攻击者经常使用 **Scheduled Tasks**（计划任务）或 **Registry Run Keys**（注册表运行键）来确保其恶意软件在系统重启后存活。 * **检测：** 我发现了一个名为 "CleanUp" 的可疑任务，配置为每次用户登录时运行恶意脚本。 * **取证：** 我**分析**了 Task Scheduler 日志，发现该任务正在执行位于 `C:\Windows\Temp\` 的隐藏文件。 ### 3. 注册表与痕迹分析 我使用 **Registry Editor**（注册表编辑器）和 **Eric Zimmerman's Tools** 来查找已执行程序的痕迹。 * **证据：** 通过检查 **UserAssist** 注册表键，我能够证明攻击者曾执行 `mimikatz.exe` 以尝试转储凭据。 * **时间线：** 我重建了时间线，显示入侵发生在从外部 IP 建立 RDP (Remote Desktop) 会话后不久。 ## 🛠️ 工具与技术 * **Event Viewer：** **分析**了安全日志 (Event ID 4624) 以查找成功登录。 * **Task Scheduler：** 调查了恶意持久化触发器。 * **Registry Editor (Regedit)：** 检查了 `Run` 和 `RunOnce` 键以查找恶意条目。 * **Command Line (CMD/PowerShell)：** 利用 `net user`、`netstat` 和 `get-scheduledtask` 进行快速分类。 ## 🛡️ 映射到 MITRE ATT&CK | 战术 | 技术 | ID | 观察 | | --- | --- | --- | --- | | **Persistence** | Create Account: Local Account | T1136.001 | 创建 "Guest1" 管理员账户。 | | **Persistence** | Scheduled Task/Job: Scheduled Task | T1053.005 | 创建了恶意的 "CleanUp" 任务用于执行。 | | **Credential Access** | OS Credential Dumping | T1003 | 注册表中发现 Mimikatz 执行证据。 | | **Lateral Movement** | Remote Services: Remote Desktop Protocol | T1021.001 | 使用非授权 RDP 会话进行初始入侵。 | ## 📊 技术指标 | 类型 | 值 | 描述 | | --- | --- | --- | | **Account Name** | `Guest1` | 非授权管理员账户 | | **Task Name** | `CleanUp` | 持久化机制 | | **File Path** | `C:\Windows\Temp\nc.exe` | 用于反向 shell 的 Netcat 二进制文件 | | **Registry Key** | `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` | 恶意启动项位置 | ## 💡 关键结论与补救措施 1. **RDP 加固：** 默认情况下禁用所有工作站上的 RDP。如果需要，确保其仅可通过 VPN 访问并受 Multi-Factor Authentication (MFA) 保护。 2. **最小权限原则：** 定期审计 "Administrators" 组，确保未添加任何非授权账户。 3. **日志集中化：** 将 Windows Event Logs 转发到中央 **SIEM**（如 Splunk 或 ELK），以便对 Event ID 4720（账户创建）进行实时警报。 *本次调查是作为 TryHackMe SOC Level 1 路径的一部分进行的，旨在展示 Windows 端点取证的熟练程度。*

标签：AI合规, Conpot, DAST, Eric Zimmerman工具, HTTPS请求, Living off the Land, Mimikatz, PE 加载器, RDP入侵, UserAssist, Windows取证, Windows安全, 主机取证, 事件日志分析, 凭据转储, 后漏洞利用分析, 库, 应急响应, 恶意软件分析, 持久化机制, 数字取证, 注册表分析, 渗透测试复盘, 红队痕迹分析, 网络安全, 自动化脚本, 计划任务, 隐私保护, 隐藏账户